Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\svhostsys32.scr (загружен из сети Интернет)
- <SYSTEM32>\msndosystem.scr (загружен из сети Интернет)
- <SYSTEM32>\spoolsystem.scr (загружен из сети Интернет)
- <SYSTEM32>\msgrcg32.scr (загружен из сети Интернет)
- <SYSTEM32>\sysstrat.scr (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\svchostsys55[1].swf
- <SYSTEM32>\spoolsystem.scr
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\spwwlsa2007[1].bmp
- <SYSTEM32>\msndosystem.scr
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\msn3255[1].bmp
- <SYSTEM32>\svhostsys32.scr
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\msgrcg32[1].swf
- <SYSTEM32>\serprom1428.bmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\serprom1428[1].bmp
- <SYSTEM32>\sysstrat.scr
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\sysstrat10[1].bmp
- <SYSTEM32>\msgrcg32.scr
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к вирусу>
Сетевая активность:
Подключается к:
- 'www.an####rra.kit.net':80
TCP:
Запросы HTTP GET:
- www.an####rra.kit.net/spwwlsa2007.bmp
- www.an####rra.kit.net/svchostsys55.swf
- www.an####rra.kit.net/msn3255.bmp
- www.an####rra.kit.net/serprom1428.bmp
- www.an####rra.kit.net/msgrcg32.swf
- www.an####rra.kit.net/sysstrat10.bmp
UDP:
- DNS ASK www.an####rra.kit.net
